Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Все банковские мобильные приложения содержат хотя бы одну уязвимость — таковы результаты проведенного компанией Digital Security исследования. Но так ли это страшно?
По сообщению исследовательского центр Digital Security, чтобы представить общественности результаты тестирования безопасности приложений для мобильного банкинга, «этичные хакеры» в течение года препарировали мобильные платежные приложения. Всего в исследовании упоминаются около 40 мобильных приложений российских банков.
В конце 2011 года Digital Security уже проводила подобное исследование систем интернет-банкинга, и результаты также оказались удручающими. Как сообщили «Б.О» в компании, после его публикации Digital Security не отслеживала, изменилось ли количество уязвимостей в исследованных системах, но количество банков, обращающихся за помощью в обеспечении безопасности систем ДБО, значительно увеличилось.
Результаты исследования мобильного банкинга подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.
Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.
«Надеюсь, что результаты этого исследования привлекут внимание банковских CISO к актуальным проблемам безопасности мобильных технологий. Проверка защищенности клиентских приложений методом статического анализа бинарного кода, проведенная нашим исследовательским центром, покрывает в лучшем случае 30% от общего фронта работ по анализу защищенности мобильных приложений, однако серьезные проблемы очевидны уже сейчас. Разработанный нами в процессе исследования внутренний инструмент анализа кода мы планируем в дальнейшем использовать для повышения качества услуг, которые мы предоставляем клиентам», — говорит директор Digital Security Илья Медведовский.
В тройку наиболее защищенных под iOS вошли приложения СИАБ, Мастер-Банка и ФГ «Лайф», под Android — СИАБ, Банка «Санкт-Перербург» и МТС-Банка.
Напомним, что недавно Сбербанк обнаружил группу мошенников, участники которой незаконно получали дубликаты SIM-карт оператора региональной мобильной связи, с помощью которых похищали средства клиентов через систему «Сбербанк ОнЛ@йн». Пока этот способ использовался при взломе интернет-банка, но, в принципе, может стать и частью плана злоумышленников, желающих совершать кражу с мобильных банков, привязанных к SIM-картам.
Личные фонды заметно набрали популярность. Запрос на появление такой правовой конструкции в России стремительно формировался среди держателей крупного частного капитала все последнее десятилетие. Институт «прижизненных» личных фондов, т.е. создаваемых при жизни учредителей, появился в законодательстве с 1 марта 2022-го, но статистика показывает, что действительный интерес к ним резко усилился лишь во второй половине прошлого года. Тогда же они стали массовыми: на конец января 2025 года в России зарегистрировали 164 личных фонда, а за весь период с 2022 года по 2023-й — только 16
О том, что может предложить банкам разработчик современного импортонезависимого ПО для работы с рисками, внутренним аудитом и контролем, рассказал Сергей Степаненко, директор дивизиона технологического развития управления рисками и ALM компании «Т1 Иннотех»